Der Blog für alle, die ihre Unternehmens-IT automatisieren wollen!

Alles, was Du über Phishing wissen musst: Bedrohungen erkennen und sich schützen

Eigentlich sollte dieses Thema im Jahr 2024 keine Rolle mehr spielen. Der jüngst veröffentlichte Bericht des BSI zum Bundeslagebild Cyberkriminalität zeigt die unschöne Wahrheit: Unternehmen sind sich der Gefahr scheinbar immer noch nicht bewusst! Aber woran liegt es? Vermutlich daran, dass viele Unternehmen, vor allem KMUs, sich nicht als Ziel sehen. Also, warum sich noch Sorgen machen?
Phishing: Schütze dein Unternehmen vor Cyberbedrohungen!

Inhalt

Was ist Phishing? Der Begriff einfach erklärt

Phishing bedeutet übersetzt nichts anderes als „angeln“. Der Name ist dabei Programm! Phishing ist eine betrügerische Methode, mit der Cyberkriminelle versuchen, persönlichen Daten wie Passwörter, Kreditinformationen oder Online-Banking-Zugangsdaten zu erhalten, sich diese „zu angeln“. Die Krux: Oft geben sich die Betrüger als vertrauenswürdige Institutionen, Unternehmen oder deine eigenen Kollegen aus, um dich dazu zu bringen, auf gefälschte Links zu klicken oder persönliche Informationen preiszugeben.

Phishing-Angriffe können verheerende Auswirkungen haben, da sensible Daten gestohlen und für betrügerische Zwecke missbraucht werden können. Das zeigt auch die Statistik: Im Jahr 2023 wurden laut Bundeskriminalamt (BKA) in Deutschland über 160.000 Fälle von Cyberkriminalität registriert, wovon ein großer Teil auf Phishing-Angriffe zurückzuführen war. Der dadurch entstandene Schaden für Unternehmen und Privatpersonen belief sich auf mehrere Milliarden Euro.

Wie funktioniert Phishing?

Phishing-Angriffe finden in der Regel per E-Mail statt. Kriminelle senden gefälschte E-Mails, die wie legitime Nachrichten von bekannten Unternehmen oder Institutionen aussehen. Diese E-Mails enthalten oft Links zu gefälschten Websites. Dabei sind die meisten Medien so täuschend echt, dass es kaum ersichtlich ist, dass es sich um eine Täuschung handelt.
Wenn du auf diese Links klickst und z. B. Anmeldedaten eingibst, gelangen die Betrüger in den Besitz deiner sensiblen Daten. Meist laufen solche Angriffe in 4 Schritten ab:

  1. Köder (Baiting): Der Angreifer versendet eine täuschend echte E-Mail oder Nachricht, die oft von einer vertrauenswürdigen Quelle zu stammen scheint, wie einer Bank, einem Online-Dienst oder einem Kollegen. Diese Nachricht enthält in der Regel einen Link oder Anhang.
  2. Überzeugung (Pretexting): Der Inhalt der Nachricht ist so gestaltet, dass er den Empfänger geschickt dazu bringt, den Anhang zu öffnen oder auf den Link zu klicken. Diese Aufforderung kann häufig auch mit Dringlichkeitsmeldungen (z. B. „Sie haben eine dringende Nachricht.“) einhergehen.
  3. Informationsdiebstahl (Information Theft): Sobald der Empfänger auf den Link klickt oder den Anhang öffnet, wird er auf eine gefälschte Website weitergeleitet, die der Originalseite sehr ähnelt. Hier wird der Benutzer aufgefordert, vertrauliche Informationen einzugeben. Alternativ kann sich im Anhang Malware befinden, die auf dem Computer des Opfers installiert wird.
  4. Verschlüsselung (Encryption): Bei einer Phishing-Attacke, insbesondere wenn Ransomware, involviert ist, wird Malware verwendet, um die Daten des Opfers zu verschlüsseln. Der Angreifer fordert dann ein Lösegeld für den Entschlüsselungs-Schlüssel.

Phishing-Angriffe können auch über Social-Media-Plattformen, SMS oder Telefonanrufe erfolgen. Die Methoden können sich ändern, aber das Ziel bleibt dasselbe – Persönlichen Daten stehlen.

Arten von Phishing-Angriffen

Es gibt verschiedene Arten von Phishing-Angriffen, die du kennen solltest. Die gängigsten Methoden:

Massenphishing oder auch E-Mail-Phishing

Bei dieser Art von Angriffen werden E-Mails an eine große Anzahl von Menschen gesendet, ohne dass ein spezifisches Ziel im Visier steht. Die E-Mails enthalten oft allgemeine Anreden wie „Sehr geehrter Kunde“ und zielen darauf ab, so viele Empfänger wie möglich zu täuschen. Die Mails scheinen häufig von seriösen Unternehmen wie Banken, Online-Shops oder Behörden zu stammen. Die enthaltenen Links führen oft zu gefälschten Websites oder enthalten infizierten Anhänge, mit denen Schadsoftware auf dem PC installiert wird.

Spear Phishing

Im Gegensatz zum Massenphishing zielen Spear-Phishing-Angriffe auf eine bestimmte Person oder Organisation ab. Die Täter recherchieren zuvor Informationen über ihre Opfer, um täuschend echte E-Mails zu erstellen, die auf die individuellen Interessen und Bedürfnisse des Opfers zugeschnitten sind.

Whaling

Whaling-Angriffe richten sich speziell gegen hochrangige Führungskräfte oder Entscheidungsträger in Unternehmen. Die Kriminellen geben sich als CEOs oder andere wichtige Personen aus und versuchen, vertrauliche Informationen oder Geld zu erlangen.

Pharming

Beim Pharming werden manipulierte DNS-Einträge verwendet, um Opfer auf gefälschte Websites umzuleiten, ohne dass sie es merken. Dadurch können Betrüger sensible Informationen wie Anmeldedaten stehlen.

Vishing

Vishing-Angriffe beziehen sich auf Phishing-Angriffe, die über Telefonanrufe erfolgen. Kriminelle „ködern“ ihre Opfer, indem sie sich als Bankmitarbeiter, Regierungsbeamte oder andere vertrauenswürdige Personen ausgeben. Ihr Ziel sind persönliche Informationen und sensible Daten.

Smishing

Smishing-Angriffe funktionieren ähnlich wie Vishing, jedoch werden die Nachrichten per SMS statt per Telefon versendet.

Wie kannst du dein Unternehmen und deine Systeme vor Phishing-Angriffen schützen?

Um einen umfassenden Schutz zu gewährleisten, empfehle ich folgendes:

  • Wachsam sein: Sei immer vorsichtig und aufmerksam, wenn du E-Mails oder Nachrichten erhältst. Schenke verdächtigen Anfragen keine Aufmerksamkeit und überprüfe immer die Absenderadresse und die anderen, bekannte Anzeichen.
  • Aktuelle Sicherheitssoftware: Stelle sicher, dass dein Unternehmen mit einer umfangreichen Schutz-Software ausgestattet ist. Setze anstatt einer AV-Software lieber eine EDR-Software ein. Um den bestmöglichen Schutz zu gewährleisten, solltest du darauf achten, dass sich die Software auf den neuesten Stand befindet.
  • Verwende starke Passwörter: Verwende unterschiedliche und starke Passwörter. Verwende beim festlegen Buchstaben, Zahlen und Sonderzeichen.
  • Aktiviere die Zwei-Faktor-Authentifizierung (kurz 2FA): Die Zwei-Faktor-Authentifizierung, bietet eine zusätzliche Sicherheitsebene. Neben dem Passwort muss dann auch ein zusätzlicher Sicherheitscode eingegeben werden.
  • Human Firewall: Die häufigsten Phishing-Angriffe werden immer noch durch Mitarbeiter verursacht. Investiere also auch in die Schulung deiner Kollegen & Mitarbeiter.
  • Richtlinien: Etabliere klare Richtlinien für den Umgang mit E-Mails, soziale Medien und sensible Daten.

Welche Bedrohungen gehen von Phishing aus?

  • Finanzielle Verluste: Wie auch im Privatleben, können Unternehmen durch den Diebstahl von Bankdaten oder Kreditkartendaten hohe finanzielle Verluste erleiden.
  • Reputationsverlust: Gefälschte E-Mails oder Schadsoftware, die durch Phishing verbreitet wird, können den Ruf eines Unternehmens schädigen und zu Kundenverlust führen.
  • Betriebsunterbrechungen und Ausfallzeiten: „Denial-of-Service“-Angriffe oder Datenlecks, die durch Phishing verursacht werden, können zu Betriebsunterbrechungen und Produktionsausfälle führen.
  • Verlust von sensiblen Daten: Der Diebstahl von Kundendaten oder Geschäftsinformationen kann zu rechtlichen und finanziellen Folgen führen.

Sicher ist sicher – So schützt du dein Netzwerk und Unternehmen vor Phishing-Angriffen

Es gibt bestimmte Anzeichen, anhand derer du Phishing-E-Mails identifizieren kannst. Die 5 Merkmale sind:

  1. Absenderadresse: Überprüfe die Absenderadresse mit Sorgfalt. Oft verwenden Phisher gefälschte Absenderadressen, die denen echter Unternehmen ähneln. Meist weisen sie kleine Abweichungen, wie beispielsweise Tippfehler, auf.
  2. Rechtsschreibung und Grammatik: Phishing-E-Mails erhalten oft Rechtschreib- und Grammatikfehler. Klar, Tippfehler passieren. Aber meist sind die Fehler so auffallend gravierend, dass sie von seriösen Unternehmen nicht gemacht werden.
  3. Dringende Aufforderung: Phishing-E-Mails enthalten oft dringende Aufforderungen. Beispiele gefälligst? „Ihr Konto wurde gesperrt, handeln Sie sofort“, „Halten Sie Frist xy ein“. Cyberkriminelle versuchen damit einen gewissen Druck zu erzeugen und sofortiges Handeln zu erzielen.
  4. Fehlende persönliche Anrede: Wie bereits oben erwähnt, enthalten Phishing-Mails oft allgemeine Anreden wie „Sehr geehrter Kunde“ anstelle deines Namens. Brands und andere Unternehmen würden deinen Namen in einer offiziellen E-Mail verwenden.
  5. Unsichere Links: Überprüfe immer die Links, bevor du klickst. Halte den Mauszeiger über den Link, um die Ziel-URL anzuzeigen. Wenn die URL verdächtig aussieht oder nicht mit der des Unternehmens übereinstimmt, solltest du den Link besser nicht anklicken.
Phishing-Mails erkennen. Infografik

Eine kleine Übersicht mit allen wichtigen Punkten, steht für dich zum Download bereit.

Infografik Downloaden

Beim Phishing aber auch bei allen anderen Cyberangriffen sind der Kreativität keine Grenzen gesetzt. Auch Cyberkriminalität wächst weiter und wird immer findiger. Deshalb ist die Faustregel: Achtsam sein, auf die eigene Intuition vertrauen und im Zweifel beim vermeintlichen Absender nachzufragen.

Bildnachweis: Titelbild: Image by Mohamed Hassan from Pixabay, eigene Nachbearbeitung; Bild 1: NCE Computer GmbH

Quellen: Bundeslagebild Cybercrime 2023

Über den Autor

Kevin Werbizki

Empfehlungen

nce.edr
Die Lösung für ein sicheres Netzwerk!
Jetzt informieren!

Weitere Artikel

EDR-Lösung oder AV-Software?

EDR-Software vs. AV-Software: Warum Ihr Unternehmen mehr als „nur“ eine Antivirus-Software benötigt

Unsere Welt wird immer digitaler. Wir arbeiten im Homeoffice, genießen Work and Travel und am liebsten verwalten wir unser Business mit dem Smartphone. Was so einfach klingt und sich auch recht einfach umsetzen lässt, lässt bei vielen IT-Verantwortlichen die Alarmglocken schrillen: Wenn so viele Geräte von praktisch überall auf Netzwerkressourcen zugreifen, wie kann dann die Sicherheit überhaupt gewährleistet werden?

Weiterlesen »
Logo nce - Sichere Unternehmens-IT

Impressum

Datenschutz

AGB